#{}
如果mapper接口方法形参只有一个普通类型的参数,#{···}里面的属性名可以随便写,如:#{id},#{value}.
- 执行SOL时,会将#{···}替换为?,生成预编译SQL,会自动设置参数值
- 使用时机:参数传递,都适用#{···}
${}
- 拼接SQL。直接将参数拼接在SQL语句中,存在SQL注入问题。
- 使用时机:如果对表名、列名进行动态设置时使用
sql注入
sql注入是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码时对服务器进行攻击的方法。
如果是拼接的sql不是预编译的,那么如下
用户名:·········
密码:‘or‘1’=1’
1=1恒成立,那么or之前的条件不管为false还是true 结果都为true
select * from user where name=····· and pd=‘’ or 1=1